这是一个创建于 3814 天前的主题,其中的信息可能已经有所发展或是发生改变。
前两天看到电视上在说有人的支付宝余款被莫名的转走,金额非常大。说是因为被害人通过手机扫描了一个二维码,而这个二维码里面含带了相关的攻击网站信息,使用者在不知情的情况下,手机会访问到该钓鱼网站,自动下载相关的应用程序并安装,同时该软件会拦截所有发送至用户的短信和电话(此时被害人的手机上是不会显示有任何消息或者电话的)并转发至指定的接收人这里。对方就是通过这种办法把支付宝里面的钱给转掉的。
我的问题是,这种办法是不是对安卓系统是有效的(没怎么用过安卓的系统,不确定),但是iOS不受影响?
我的问题是,这种办法是不是对安卓系统是有效的(没怎么用过安卓的系统,不确定),但是iOS不受影响?
 |
1
neodreamer 2013-11-28 14:58:27 +08:00 via Android
自动下载应用并安装?
受害人自己乱点的吧。 |
 |
2
lichao 2013-11-28 14:58:55 +08:00
人笨才是主因,别赖手机
|
 |
3
mille 2013-11-28 15:02:58 +08:00
“...自动下载相关的应用程序并安装...”
在未越狱的iOS设备上,这是不成立的。 已越狱的设备不予置评,出来混迟早要还。 Android未root的也应该不会有问题,root绝壁中招。 |
 |
4
manhere 2013-11-28 15:04:04 +08:00
|
 |
5
iOct OP @neodreamer
@lichao 其实不一定说人笨,毕竟二维码比起显性的网址来说,就更隐蔽了。无法查别 一个我能想象的场景就是:比如某网站搞App推广,只要扫二维码下载了app就送什么什么,但是该网站已经被黑客渗透了,通过在二维码内增加钓鱼网站的方式,就肯定能抓到不少用户. 其实我就想确定,是否未root的安卓系统或者未越狱的iOS系统是不会发生这种被私自安装应用的这种事情的? |
 |
6
GordianZ MOD 扫二维码肯定不会中毒,傻叉应用(例如微信)自己打开链接才是关键……
|
 |
7
ihacku 2013-11-28 16:15:34 +08:00
@neodreamer Android之前webview爆过漏洞 只要访问链接就可以种马
|
 |
11
fox 2013-11-28 17:42:06 +08:00
似乎企业应用是可能的。当然也要你操作。
|
 |
12
meta 2013-11-28 20:02:48 +08:00
这个跟二维码有什么关系?直接给你个链接或者就藏在一张图片后面,你去点了安装难道不是一样的。
|
 |
13
a2z 2013-11-28 21:12:33 +08:00
谁说ios没越狱不可以的,有mobile权限就能干很多事情了……
mobile safari的洞还是不少的,参见今年的pwn2own里面的中国队 |
 |
14
liuyi_beta 2013-11-28 21:56:30 +08:00
@iOct 对于未越狱的iOS设备,是没法安装非官方的app的。这里假设这个二维码是一个App store的连接,扫描后手动打开app store, 然后安装该程序(假设该程序是木马程序,而且通过了App store的审核,这种可能性太小了。。。),然后打开程序运行,程序开始干坏事儿,但是首先它必须向你申请各种权限,而且即使这样它能干的事儿也不多,苹果对app的权限管理相当严格。所有楼主的假设就目前的技术手段来说是根本不可能的。
还有一种可能是该app有企业签名,这种情况下可以不通过App store而手动安装,然后这种企业签名的app带有木马和后门的可能性。。。。貌似还是不可能,它同样需要申请权限,而且能干的事儿很少很少。 综上所述,对于未越狱的iOS设备,压根儿不需要担心安全问题,Apple已经做得很好了。 |
Select Language